启动时报这个。

liumailong

这是个什么东西？

HEMM

今天第一次看到这种类型，我也完全摸不着头脑。
打开系统日志，看看有木有具体的记录

hez2010

看上去是在内存中动态执行的 Lua 恶意脚本被 WD 拦截了。

liumailong

hez2010 发表于 2019-11-22 00:01
看上去是在内存中动态执行的 Lua 恶意脚本被 WD 拦截了。

开机就遇到，就是说启动前就有。
那因该有本地文件。
但用卡巴和大蜘蛛的扫描器却什么都没发现。

ELOHIM

可能已经被感染。你可以做一个实验，第一，检查计划任务，排除微软相关得然后上传上来。第二，禁用WD，将UAC设置成最高级，重启电脑检查UAC状态。怀疑有文件在悄悄禁用UAC以达到不可告人的秘密。并注意检查不明出站连接。

liumailong

ELOHIM 发表于 2019-11-22 22:47
可能已经被感染。你可以做一个实验，第一，检查计划任务，排除微软相关得然后上传上来。第二，禁用WD，将UA ...

实验做了，没啥问题。
任务计划也没发现什么。

ELOHIM

liumailong 发表于 2019-11-22 23:51
实验做了，没啥问题。
任务计划也没发现什么。

所有开机启动项都检查了吗

liumailong

ELOHIM 发表于 2019-11-24 18:20
所有开机启动项都检查了吗

都查了，Autoruns 里没微软签名的全看了一遍。
还用4个杀软的扫描器扫描过了。
现在只能说要么是误报
要么是被黑客针对。

ELOHIM

liumailong 发表于 2019-11-24 22:33
都查了，Autoruns 里没微软签名的全看了一遍。
还用4个杀软的扫描器扫描过了。
现在只能说要么是误报

这是一个老威胁，已经入库了。
下次报的时候，你对照PID看一下是哪个进程，截图上来看看。

重点是检查开机脚本方面。。
另外，你是否使用激活工具激活了系统？

下面的信息可以参考一下：
用户帐户控制

用户帐户控制 (UAC) 有助于防止恶意软件损坏计算机并且有助于组织部署更易于管理的桌面环境。

你不应关闭 UAC，因为这对于运行 Windows 10 的设备而言不是受支持的方案。 如果你关闭 UAC，所有通用 Windows 平台应用都将停止工作。 你必须始终将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 注册表值设置为 1。 如果你需要提供用于编程访问或安装的自动提升，可以将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin 注册表值设置为 0，这与将 UAC 滑块设置为“从不通知”相同。 对于运行 Windows 10 的设备不建议此方法。

有关如何管理 UAC 的详细信息，请参阅 [color=var(--primary-hover)]UAC 组策略设置和注册表项设置。

在 Windows 10 中，用户帐户控制已添加了一些改进。

Windows 10 版本 1507 中的新用户帐户控制功能

• 与反恶意软件扫描接口 (AMSI) 集成。 [color=var(--primary-base)]AMSI 扫描恶意软件的所有 UAC 提升权限请求。 一旦检测到恶意软件，将阻止管理员权限。
  

峪飞鹰

Win32/Nabucur 是勒索软件，楼主需要当心，如果开机就有提示，又没有查到病毒文件，那么考虑一下你的网络中是否有正在传播勒索病毒的机器。建议自己的机器打好所有补丁，并排查网络中的其它机器